Esta semana se produjo una noticia que, por lo menos a mí, me dejó estupefacto. Air Europa había sufrido un ciberataque. Le había sido sustraída la información de las tarjetas de crédito utilizadas por los clientes para comprar billetes, junto con la fecha de caducidad y código CVV que proporciona, a priori, tanta seguridad. En su comunicado, recomendaba a todos los clientes cancelar sus tarjetas de crédito. Esto era lo alucinante. No decía que comprobasen las operaciones por si acaso sus tarjetas estaban siendo usadas fraudulentamente. El mensaje era que las cancelasen directamente. Estamos hablando de miles de tarjetas.

En España, se producen más de trescientos mil delitos informáticos cada año y las inversiones en ciberseguridad aumentan entre las empresas a doble dígito, año tras año. En el mundo empresarial, el temor a un ciberataque se encuentra entre el TOP de preocupaciones de los cuadros directivos, dadas las grandes responsabilidades, tanto económicas como incluso penales, que existen.

En los últimos meses, hemos conocido secuestros de información por parte de hackers a hospitales, instituciones públicas, gestorías, empresas de software, compañías aéreas, etc.

Lo sorprendente es que la práctica totalidad de organizaciones atacadas y a las que se sustrajo información, mediante chantaje posterior, cumplían los requisitos que establece la ley española y comunitaria de protección de datos y de seguridad informática. No pueden exigirse más medidas de seguridad porque, simplemente, las empresas no pueden asumir sus costes. Sin embargo, no creo que la solución pase por más medidas de seguridad. Estoy convencido de que un hacker con conocimiento y recursos es capaz de saltarse cualquier control de seguridad. Es como tener alarma en casa. Es disuasoria y actúa como una dificultad añadida para que el ladrón de turno prefiera dirigirse a otro lugar a cometer sus fechorías. Pero si está preparado y dispone de los medios, no hay sistema de alarmas que se le escape.

Eso sitúa el eje del debate en otra dimensión. La prevención. En todos los aspectos de la vida, la prevención es una cuestión de actitud y de hábitos. ¿Qué hacemos para prevenir enfermedades? Cuidarnos. Cambiar los hábitos de alimentación y de ejercicio físico. Modificamos la actitud para que nuestros hábitos se ocupen de prevenir la situación indeseada. Pienso que en materia de ciberseguridad, ciudadanía y empresas deben hacer un clic, como vulgarmente se dice.

Me refiero a no preocuparse, pero sí ocuparse. Hábitos tales como comprobar a diario los movimientos bancarios y de operaciones de tarjeta. Con las aplicaciones móviles es fácil y rápido. Es como comprobar por la noche que la puerta de casa está cerrada o la alarma conectada. En ciberseguridad, la prevención pasa por la comprobación y por establecer normas con clientes y proveedores que no dejen nuestra seguridad en manos de los cortafuegos únicamente.

Pondré un ejemplo. Uno de los delitos informáticos más comunes últimamente es usurpar la identidad de un correo electrónico y modificar la cuenta corriente de una factura que se envía por email a un cliente, correspondiente a un trabajo realmente realizado. Está a la orden del día. Si entre cliente y proveedor existe un acuerdo previo de no modificar cuentas corrientes sin una llamada telefónica previa o una doble confirmación, se evita totalmente este delito.

Del mismo modo, la velocidad de detección es absolutamente clave. Los seguros de responsabilidad civil y las coberturas de riesgos tanto de bancos como de tarjetas de crédito y también de empresas actúan como una protección adicional que eviten tener que asumir la pérdida de un ataque o fraude. Pero para ello hay que detectar el delito lo antes posible. Conozco casos de personas que fueron engañadas por WhatsApp y realizaron transferencias bancarias a supuestos familiares que, por ejemplo, se encontraban en un aeropuerto en apuros. Denunciarlo con velocidad les permitió que la entidad financiera pudiera cubrir la pérdida con su póliza de seguros.

Velocidad, atención, pautas y hábitos y, sobre todo, actitud son la solución. Lo llamo 'ciberactitud'. Porque tengamos claro que no podemos colapsar a las empresas con más y más medidas de seguridad. Los delincuentes informáticos pueden lograr casi todo lo que se propongan. La solución no es poner más vallas al campo, sino abrir los ojos y vigilar bien el campo.